こんどは XSS 脆弱性、ただし Mozilla は影響なし?

2003年12月19日(金) by level
B ?

新もじら瓦版アルファ版によると、また、Mozilla を含む複数のブラウザにおいて CSS を使ったクロスサイトスクリプティング(XSS)脆弱性が発見されたそうです。詳細はセキュリティホール memo を参照してください。

Mozilla における既知の脆弱性が更新され、Mozilla 1.4.1 では2つのバグが未修正であることが明確にされました(ニュースグループなどでは以前から話題になってはいましたが)。ちなみに、Netscape 7.1 は Mozilla 1.4 ベースであるので、57番以降の脆弱性が残っていることになります。

12/21更新: CSS による XSS 脆弱性の話ですが、実は私はなぜ 外部CSS の実行が XSS 脆弱性になるのか理解しておらず、書きながらも何が問題なんだろうと思っていたのですが :-\こちらのブログによると

外部スタイルシートは、本来、カスケーディングスタイルシート記述のためのものですが、一部のブラウザでは、中身にJavaScriptが記述されていると、これを実行してしまうという深刻な問題があり、古くから知られています。

(強調はえむもじらによる)

とのこと。この「一部のブラウザ」というのが IE なんでしょう。Mozilla にはこのような変な仕様は無いようです。

ということで、セキュリティホール memo ではあたかも Mozilla に XSS 脆弱性があるかのごとく書かれていますが、実際は不正な記述?の @import で CSS のインポートができてしまうということだけのようで、大きな問題ではないはずです。

コメント

コメントはありません。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. データがありません。